Weekendul care tocmai a trecut marchează 100 de zile de la intrarea în vigoare a Regulamentului general privind protecția datelor (GDPR), ce afectează companiile la nivel global.

Toți cei care se așteptau să apară imediat titluri cu amenzi usturătoare probabil sunt dezamăgiți acum. Deși Comisia UE a primit plângeri la adresa unor companii precum Facebook, Google, Instagram și WhatsApp la numai câteva ore după intrarea în vigoare a noii legislații privind protecția datelor, nu s-a întâmplat încă nimic masiv. Și întrucât noua directivă a mărit cuantumul total al potențialei amenzi de la 551 000 de euro, suma propusă inițial în „legislația originală", la suma de 20 milioane de euro (17,6 milioane de lire sterline) sau 4% din cifra de afaceri globală anuală, interesul mass-media pentru acest subiect nu va scădea prea curând.

Cum arăta situația chiar înainte ca GDPR să intre în vigoare?

Cu mult înainte ca noile reglementări stricte ale GDPR să intre în vigoare, experții ESET au evaluat nivelul de pregătire al companiilor pentru această schimbare majoră în ceea ce privește protecția datelor, prin intermediul formularului de testare a conformității, iar în perioada cuprinsă între noiembrie 2017 și mai 2018, au fost colectate date de la peste 27.000 de participanți, majoritatea din țările Uniunii Europene (UE), unde a fost promovată activ această evaluare.

Acest test al conformității a scos la iveală diferite aspecte interesante despre companiile din UE. De exemplu, este destul de clar acum că majoritatea companiilor dețin informații de identificare personală (PII) atât ale clienților (82,6%), cât și ale angajaților (70,2%). În plus, puțin peste de o cincime dintre participanți a dezvăluit că deține informații suplimentare precum date biometrice sau medicale.

„Un audit al colectării și prelucrării datelor ar putea fi cel mai util lucru pe care orice companie îl poate face cu privire la GDPR. Chiar și acum, la doar câteva luni după ce această directivă a devenit activă, este cel mai simplu mod de a vă asigura că nu veți omite nimic atunci când faceți planul pentru conformarea cu GDPR", a declarat Tomáš Mičo, Senior Data Protection și Licensing Lawyer la ESET. „Oricare ar fi rezultatul, va oferi companiei o perspectivă echitabilă pentru viitor și o imagine a investițiilor necesare. Și dacă tot se apropie sezonul în care se fac bugetele, acest lucru ar putea fi cel mai bun moment al anului - dacă nu ați făcut deja acest lucru."

În același timp, mai mult de jumătate (56%) dintre companii au recunoscut că nu au efectuat un audit pentru a se asigura că societatea lor colectează corect datele personale; din ce surse vin și cu cine sunt partajate. Puțin mai mult de jumătate dintre aceste organizații (51,4%) nu și-au documentat măsurile de securitate tehnice și organizatorice, privind modul în care sunt procesate aceste date. Și cu doar o jumătate de an înainte de termenul setat pentru intrarea în vigoare a GDPR, numai 47% dintre persoanele cheie din aceste companii erau pe deplin conștiente de toate regulile care se schimbă odată cu GDPR.

Securitate în noua eră de protecție a datelor

Odată cu acest test, ESET a chestionat respondenții și cu privire la măsurile tehnice aplicate de companii pentru a împiedica accesul neautorizat la date și utilizarea acestora de către infractorii cibernetici.

Dintre toate tipurile de soluții pentru securitatea IT, cea mai utilizată a fost software-ul pentru detecția și protecția anti-malware (90,6%). În plus, companiile se bazează pe software-ul de protecție a browserului (87,8%), firewall (83,6%), pe software-uri ce restricționează accesul (83,7%) și pe rețelele WiFi protejate prin parolă (81,9%).

Când vine vorba de criptare, măsura principală impusă de GDPR, doar o treime dintre companiile respondente implementaseră această măsură de protecție a datelor, înainte de aplicarea noului regulament. Criptarea este segmentată pe mai multe ramuri, iar între favorite se numără: criptarea e-mailului (32,5%), urmată de criptarea fișierelor locale (31%) și apoi de criptarea în rețea/cloud (30,5%).

„Uitându-mă la datele colectate, sunt destul de surprins de faptul că doar un sfert dintre participanți dispun de un sofware care să cripteze conținutul discurilor și stick-urilor USB. Pierderea sau furtul oricărui dispozitiv care conține date sensibile neprotejate reprezintă un pericol incontestabil pentru companiile în cauză", a explicat David Tomlinson, Manager al ESET Endpoint Encryption. „De când a intrat în vigoare GDPR, am văzut o creștere continuă în rândul celor care implementează un software de criptare, astfel că numărul ar putea fi mai ridicat acum, față de acum câteva luni, deși nu există date care să susțină această părere".

GDPR este acum în vigoare. Deși autoritățile de reglementare din domeniul protecției datelor au fost generoase în privința amenzilor din primele luni de după implementarea GDPR, iar Comisia UE ar fi putut cruța câteva milioane generate de diferite amenzi, abia acum urmează să fim martorii unor amenzi usturătoare. Deci, dacă compania dvs. nu este încă aliniată la noile reglementări, e vremea să acționați.

Pentru mai multe informații despre regulamentul general privind protecția datelor, puteți vizita portalul ESET dedicat GDPR.